Chrome, Firefox, Brave i Edge właśnie załatały bardzo groźną lukę. Aktualizujcie przeglądarki

Tradycyjny plik obrazu powinien zawierać po prostu grafikę i metadane przydatne do jego wyświetlenia na ekranie. Obecnie jest to jednak bardziej skomplikowane i „prosty” obraz WebP może stać się złośliwym wektorem, który może być wykorzystywany przez cyberprzestępców. 

Jak podaje Stack Diary, Google, Mozilla, Microsoft i Brave udostępniły krytyczne łatki zabezpieczeń dla swoich przeglądarek internetowych. Patche usuwają lukę, którą osoba atakująca może wykorzystać w celu uzyskania dostępu do złośliwego kodu lub uruchomienia na nim złośliwego kodu, a firmy przyznają, że była ona aktywnie wykorzystywana w środowisku naturalnym. NIST klasyfikuje tę lukę jako poważną. Zagrożone są też aplikacje innych firm — luka jest powiązana z szeroko stosowanym kodem używanym do renderowania obrazów WebP.

Google, Mozilla, Microsoft i Brave udostępniły krytyczne łatki zabezpieczeń dla swoich przeglądarek internetowych.

Stack Diary wspomniał, że aplikacje oparte na platformie Electron, takie jak do szyfrowania wiadomości Signal i Honeyview firmy Bandisoft, również wydały łatki rozwiązujące ten problem. Według strony problem dotyczy również innych aplikacji, takich jak Affinity, Gimp, LibreOffice, Telegram, wielu apek na Androida i „wieloplatformowych aplikacji zbudowanych przy użyciu Flutter”.

Szczegóły dotyczące tej luki nie są w tej chwili znane, ale problem dotyczy także przeglądarek i klientów internetowych opracowanych przez inne firmy.

Błąd, oznaczony jako CVE-2023-4863, jest opisywany jako przepełnienie bufora w obsłudze WebP przeglądarki Chrome przed wersją 116.0.5845.187. Osoba atakująca zdalnie może wykorzystać tę lukę, aby wykonać zapis w pamięci poza przydzielonym buforem za pośrednictwem spreparowanej strony HTML, co może prowadzić do wykonania dowolnego (i prawdopodobnie złośliwego) kodu.

Apple w tym tygodniu także wypuściło poprawkę zabezpieczeń dotyczącą prawdopodobnie tego samego problemu, chociaż w witrynie NIST znajduje się odniesienie do innego numeru problemu.

Najważniejsze, aby - niezależnie od tego, czy korzystamy z Google Chrome, Mozilla Firefox, Microsoft Edge czy też przeglądarki Brave - jak najszybciej dokonać aktualizacji, która łata ten problem. W innym wypadku narażacie się na poważne ryzyko.